随着计算机取证技术的发展，从技术角度，主要的电子数据取证步骤已经固化为“固定保全”、“删除恢复”、“痕迹分析”和“数据展现”几个步骤，针对不同的取证对象操作系统，只是每个主要步骤存在些细微的技术实现差异{21}。“固定保全”包括对计算机存储介质进行位对位的只读复制保全，对于正在运行系统的内存易丢失数据进行镜像导出。“删除恢复”通常包括根据不同的文件系统对已删除文件进行恢复，以及对存储镜像进行全盘扫描，根据文件类型特征来恢复已删除的文件内容或片段信息。此外还包括对应用程序进行记录级别的数据恢复。“痕迹分析”是计算机取证分析的重要步骤。依据所使用的操作系统不同，通常包括文件下载、程序执行记录、文件使用痕迹、文件删除痕迹、计算机位置信息、外设使用痕迹、账户痕迹信息以及浏览器使用痕迹信息等八大类别{22}。“数据展现”通常可采用时间轨迹、地理轨迹、关系网络等多种可视化数据分析手段对计算机取证分析的结果进行更丰富直观的呈现，便于分析人员从中得出数据的内在规律和隐藏信息。

　　3.2.1.2面向新型智能终端的取证方法研究

　　据2014年全球互联网流量发起终端数据统计，手机占比31%，平版电脑占比6.6%，而PC已下降到62.4%。截至2015年4月底，我国移动互联网用户已达9.05亿人。作为移动互联网的载体，2015年上半年新型智能终端出货量达6.73亿部，同比增速14.3%。2015年上半年我国新型智能终端出货量达2.1亿部，同比增长7.5%{23}。智能终端市场份额主要由Android操作系统、iOS操作系统和Windows Phone操作系统的移动设备所占据。

　　面向新型智能终端的取证主要包括“在线取证”、“离线取证”和“芯片级取证”三个主要的技术手段。“在线取证”指的是通过数据线连接智能终端与取证设备，通过特定的数据读取协议直接从智能终端中获取取证分析人员感兴趣的数据文件。“在线取证”通常受到了新型智能终端设备自身安全保护机制的制约，对于未越狱的iOS设备、未Root的Android设备仅能通过“在线取证”获取到少量的用户使用痕迹信息。而智能终端的锁屏密码等保护措施也严重阻碍了取证的顺利进行。如何绕过新型智能终端的诸如锁屏密码、数据加密等安全防护机制仍是该领域研究的重要难题之一。“离线取证”通常包括两种类型：基于智能终端的备份数据进行取证分析和基于智能终端镜像文件进行取证分析。基于备份的“离线取证”主要利用iOS设备的iTunes Backup协议和Android系统内置的Backup协议进行数据获取，这种方法受到了第三方应用APP对于备份支持情况的限制，部分APP无法通过备份的手段获取到使用痕迹信息。基于镜像的“离线取证”可以对智能终端的系统信息、用户信息以及第三方APP的使用痕迹进行较全面的取证分析，但对于使用了设备加密的智能终端，镜像数据可能受到了高强度的加密算法的加密保护。“芯片级取证”主要用于无法绕过智能终端锁屏密码或者无法获取到智能终端系统权限的情况下，可通过JTAG调试接口或者通过硬件设备直接读取智能终端的数据存储芯片，从中提取到智能终端的数据镜像文件{15}。

　　新型智能终端的数据删除恢复也是取证技术研究的重要方向，主要包括基于镜像的签名恢复，从镜像中恢复出已删除的照片、视频等类型的文件数据。另一方面是针对应用数据的存储容器如SQLite、 EDB进行记录级的删除数据恢复，恢复已删除的应用数据等。

　　3.2.2针对新应用环境的取证技术研究

　　3.2.2.1云存储系统取证

　　云存储系统具备了随处访问、便于分享等重要特点，近年来得到了快速的发展。国外云存储系统主要有DropBox、Google Drive、OneDrive，国内的万存储系统主要包括百度云、360云盘、115网盘等。

　　云存储的取证分析方法主要包括基于云存储客户端和基于浏览器使用痕迹分析两种方法。基于云存储客户端的取证手段通过分析客户端同步到本地的用户配置文件，如DropBox的filecache.dbx、Google Drive的snapshot.db、百度云的BaiduYunCacheFileVO. db等，进行数据的分析提取。基于浏览器使用痕迹的取证手段则通过分析浏览器的访问历史记录、 cookie信息以及浏览器保存的登录用户名密码等信息，尝试获取到云储存服务的登录凭据之后再进行在线的云存储内容分析{24}。

　　3.2.2.2 Xbox、PS4等游戏主机

　　Xbox、PS4这类游戏主机随着功能和性能的升级，搭配Xbox live.PSN等游戏网络的使用，已经不能作为简单的游戏机来看待。已有不少案例表明游戏主机被用于如敲诈勒索，身份盗窃等犯罪活动中。据新闻报道，2015年爆发于巴黎的恐怖袭击，恐怖分子也可能是通过PSN网络进行相互通信{25}。

　　游戏主机的取证分析方法类似于传统的计算机取证技术，通过拆卸游戏主机获取存储设备并进行电子证据的固定保全。Xbox的存储设备主要使用NTFS文件系统进行数据的存储管理，PS4则采用了Fat32文件系统作为存储管理系统，计算机取证分析软件可直接对获取的游戏机存储镜像进行取证分析{26}。

　　3.2.2.3 iCloud取证

　　iCloud作为iOS设备内置的云存储系统，通常存储了用户的海量个人使用痕迹信息，例如短信、通信录、通话记录、照片、App数据等，具备了重要的取证分析价值。iCloud存储的数据采用了iOS设备相关的硬件信息进行数据存储加密，具备了很高的加密强度。

　　通过分析浏览器的使用痕迹信息、cookie数据以及浏览器保存的用户名密码，可以尝试获取到i- Cloud的登录凭据。此外，还可以通过分析iOS设备的备份数据，从备份文件中尝试提取iCloud的登录凭据。之后使用获取到的有效凭据连接到iCloud云存储平台，并获取到文件列表信息、tokens以及其他凭据信息。最后，再利用文件id、文件校验以及文件下载凭据下载文件，完成iCloud的取证分析{27}。3.2.2A可穿戴设备取证

　　可穿戴设备是新型移动智能终端的新类型，通常包括智能手表、智能手环、智能眼镜等设备。在智能手表市场iWatch已经占据了75%的市场份额，使用Android系统的智能手表紧跟其后。可穿戴设备通常与iOS智能手机、Android智能手机配套使用，设备之间通过蓝牙或者NFC进行短距离数据通信。可穿戴设备内置了多种类型的传感器，实时监测使用者的状态信息并与智能手机进行数据传输和汇总分析{28}。

　　可穿戴设备的取证主要通过“在线取证”和“离线取证”两种方式进行。基于Android系统的可穿戴设备可以通过打开USB调试模式通过ADB命令进行“在线取证”。“离线取证”则通过配套的智能手机软件可以将可穿戴设备的配置信息、App数据同步到智能手机中，然后再对智能手机进行数据备份即可将可穿戴设备的数据备份到取证设备中。基于Android系统的可穿戴设备在获取了Root权限的情况下还可以提取到可穿戴设备的存储镜像，便于进一步进行文件系统级别的删除恢复取证分析{28}。

　　3.3电子数据取证与鉴定标准和方法的发展

　　电子数据取证与鉴定是一个严谨的过程，因为其需要符合法律诉讼的要求。因此，推进电子数据取证与鉴定标准和方法的发展，加强电子数据取证与鉴定国家标准建设，对规范电子数据取证与鉴定工作，维护司法公正、保障人民合法权益有着重要的意义。

　　3.3.1国外相关标准的研制状况

　　在国际上，开展电子数据取证与鉴定标准研究的主要有国际标准化组织ISO、Internet工程任务组IETF和计算机证据国际组织I0CE，此外，美国、英国等多个国家也出台了针对电子证据的相关标准。

　　国际标准化组织信息安全分技术委员会（ISO/IEC JT/SC27）在2012年10月发布了IS0/IEC 27037：2012《电子证据识别、收集、获取和保存指南》该指南规定了电子证据的定义、处理电子证据的要求、电子证据处理步骤及其关键的组件，包括证据的连续性、证据链、现场安全、取证的角色与责任等。此外，国际标准化组织信息还陆续发布和编制了IS0/IEC 27035《信息安全事件管理》、IS0/IEC 27038《数字脱敏规范》、IS0/IEC 27040《存储安全》、IS0/IEC 27041《事件调查方法适宜性充分性保障指南》、IS0/IEC 27042《电子证据分析解释指南》、IS0/IEC 27043《事件调查原则和过程》、IS0/IEC 27044《安全信息和事件管理（SIEM）指南》JS0/IEC 27050《电子证据发现》、IS0/IEC 30121《数字取证风险框架治理》等一系列和电子数据取证工作相关的标准{29}。

　　IETF早在2002年2月就发布了RFC 3227《电子证据收集、保管指南》，而ITU则在2009年4月发布了《电子证据法案》的草案和《了解网络犯罪：针对发展中国家的犯罪》，并在2012年9月发布了《了解网络犯罪：现象、挑战和法律响应》。除此以外， ITU的网域安全与合法侦听的相关标准也牵涉到电子数据。

　　计算机证据国际组织从1998年3月起就开始着手规划关于获取电子证据的相关原则，以便各国之间能够有统一的原则、方法和惯例来实施电子证据的收集工作。2000年3月，IOCE依据1999年在伦敦召开的国际高技术犯罪和取证大会的内容，提出了计算机取证过程中应该遵守的一般原则{30}。迄今为止，曾参与该组织制定取证原则的英国警察协会ACPO和数字取证科学组SWGDE，持续对电子证据取证工作的发展进行研究。为使实践工作能符合取证的原则和标准，ACPO和SWGDE分别推出了《电子证据取证的最佳实战指南》，并随着实践工作的转变而新增、修订和完善指南内容。

　　在美国，国家标准与技术研究院NIST为了制定相应的标准和规范，开展了包括计算机取证工具测试项目CFTT和国家软件参考库项目NSRL以及电子证据参考数据集CFReDS的研究。其中，NSRL项目负责建立一个包含各种软件的文件以及数字签名的目录，以便在执法和数字取证中使用，目前已收集了2500万个常见软件SHA-1散列值。CFTT项目旨在为确保司法组织以及其他法律组织在电子数据取证中使用的工具有效性，而建立的一套关于工具规格说明书、测试程序、测试标准、测试序列等的方法和标准体系。CFReDS项目可以让信息安全事件的取证人员模拟电子数据勘查取证，也可用于检验鉴定设备的溯源。NIST还在2004年制订了SP 800-72 PDA《取证指南》和《PDA取证工具：概述和分析》，2005年制定了《手机取证工具：概述和分析》（2007年进行了更新），2006年制订了SP 800-86《在安全事件响应中集成电子取证的指南》，2007年制订了SP 800-101《蜂窝电话取证指南》并经2013年、2014年两度修订为《移动设备取证指南》{31}。

　　在英国，英国标准学会自2003年发布了BIP 0008-2003《电子存储信息的法定许可和证据权重的实施规范》、BIP 0008-2-2005《电子传送信息的法定许可和证据权重的实施规范》、BS 10008-2008《电子信息的法定许可和证据权重规范》（2014年计划更新）以及BIP 0009-2008《电子信息证据权重和法定许可性与BS 10008共同使用的遵守手册》等一系列国家标准。